feat: Kamera/PII-Trigger differenziert + CE × Compliance FAQ

- HP059 Trigger: "DSFA erforderlich" → "zu pruefen" mit Entscheidungslogik
  (Edge-Processing ohne Speicherung/Personenerkennung = keine DSFA)
- 6 FAQ-Eintraege: Kamera-PII, zugekaufte Baugruppen, Herstellererklaerung,
  KI-Hochrisiko, CRA OTA-Updates, verkettete Produktionslinien
- GET /compliance-faq Endpoint mit Kategorie-Filter

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

ai-compliance-sdk/internal/iace/compliance_triggers.go

@@ -35,15 +35,18 @@ func GetComplianceTriggerMap() map[string][]ComplianceTrigger {
 	m := make(map[string][]ComplianceTrigger)
 
 	// --- Cobot / camera / biometric patterns ---
+	// NOTE: Kamera ≠ automatisch PII/DSFA. Entscheidend ist ob Personenerkennung
+	// oder Bildspeicherung stattfindet. Edge-Processing ohne Speicherung/Personenbezug
+	// erfordert keine DSFA. Herstellererklaerung ist massgeblich.
 	m["HP059"] = []ComplianceTrigger{
 		{
 			Regulation:    "DSGVO Art. 35",
-			TriggerCondDE: "Kamera-Personenerkennung verarbeitet biometrische Daten",
-			Severity:      "high",
+			TriggerCondDE: "Kamera am Cobot erkannt. DSFA-Pflicht abhaengig von Verarbeitungsart: Erfolgt Personenerkennung oder Bildspeicherung? Wenn nur Anwesenheitserkennung (ja/nein) mit Edge-Processing ohne Speicherung: keine DSFA erforderlich. Herstellererklaerung dokumentieren.",
+			Severity:      "medium",
 			Module:        "dsfa",
 			ModuleLink:    "/sdk/dsfa",
-			ActionDE:      "Datenschutz-Folgenabschaetzung fuer Kamera-System durchfuehren",
-			RAGQuery:      "DSFA biometrische Daten Kameraerkennung",
+			ActionDE:      "Pruefen: Verarbeitet die Kamera personenbezogene Daten? Herstellererklaerung einholen. Bei reinem Edge-Processing ohne Personenerkennung/Speicherung: DSFA nicht erforderlich.",
+			RAGQuery:      "DSFA Kamera Cobot Edge-Processing Personenerkennung biometrische Daten",
 		},
 		{
 			Regulation:    "AI Act Art. 6",